Обзор изменений в законодательстве за декабрь 2020

В декабрьском обзоре изменений Законодательства рассмотрим:

Изменение процедуры лицензирования

С 1 января 2021 г. вступят в силу Приказ ФСТЭК России от 02.12.2020 №141 «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 №133» (далее – Приказ №141) и Приказ ФСТЭК России от 02.12.2020 №142 «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 №134» (далее – Приказ №142).

Приказ №141 и Приказ №142 вносят изменения в процедуру лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации и по технической защите конфиденциальной информации соответственно.

Основные изменения коснулись форм заявления о предоставлении, переоформлении и прекращении действия лицензии на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации (по технической защите конфиденциальной) юридическому лицу и индивидуальному предпринимателю. Изменились и формы заявлений о предоставлении сведений о лицензии и об исправлении опечаток и (или) ошибок.

Определен новый порядок информирования заявителя: уведомление о предоставлении, переоформлении или прекращении действия лицензии подписывается начальником Управления ФСТЭК России, регистрируется и отправляется заявителю в форме электронного документа, подписанного усиленной квалифицированной электронной подписью либо на бумажном носителе заказным почтовым отправлением с уведомлением о вручении. Одновременно с уведомлением заявителю могут направить выписку из реестра лицензий.

Изменения отменили предоставление дубликата или копии лицензии.

Аттестация объектов информатизации

23 декабря 2020 г. ФСТЭК России представил проект Приказа «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям по защите информации, не составляющей государственную тайну» (далее – проект Приказа), который должен вступить в силу 1 июня 2021 года.

Проект Приказа содержит порядок определения состава и содержания работ по аттестации объектов информатизации (далее – ОИ) на соответствие требованиям по защите информации ограниченного доступа, не составляющей государственную тайну, а также требования к форме и содержанию разрабатываемых при проведении таких работ документов.

Проект Приказа распространяется на следующие ОИ: государственные и муниципальные информационные системы, информационные системы управления производством, используемые организациями оборонно-промышленного комплекса, защищаемые помещения (далее – ЗП), а также значимые объекты критической информационной инфраструктуры и автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, для которых при их создании установлены требования к оценке соответствия требованиям по защите информации в форме аттестации.

Наряду с аттестацией ОИ, в проекте Приказа описывается процедура аттестации распределённых ИС/АС, имеющих клиент-серверную архитектуру.

В проекте Приказа представлен перечень документов, необходимых для проведения работ по аттестации, а также приведены формы технического паспорта для ИС/АС и ЗП, форма акта классификации ИС/АС, форма аттестата соответствия требованиям по защите информации.

Проект Приказа предусматривает выдачу аттестата соответствия на весь срок эксплуатации ОИ, если иное не установлено требованиями по защите информации, на соответствие которым проводилась аттестация ОИ. Действие аттестата соответствия может быть прекращено по обращению владельца ОИ, а в случае выявления нарушений по защите информации на ОИ предусмотрена новая процедура в отношении аттестатов соответствия – приостановление их действия. При прекращении или приостановлении действия аттестата соответствия владелец ОИ обязан прекратить его эксплуатацию. Напомним, что на настоящий момент для всех ОИ, за исключением ГИС/МИС, аттестаты соответствия действительны в течение трех лет (максимальный срок).

Также в соответствии с новым порядком орган по аттестации в течение 5 рабочих дней со дня подписания аттестата соответствия должен направить в электронном виде копии аттестационных документов во ФСТЭК России (территориальный орган).

Проектом Приказа предусмотрены случаи несогласия владельца ОИ с выявленными несоответствиями системы защиты информации ОИ при проведении аттестационных испытаний органом по аттестации. В описанном случаи владелец ОИ направляет письменное обращение во ФСТЭК России, по результатам которого ФСТЭК России может провести контрольные испытания на объекте ОИ.

Данный проект Приказа не ссылается на ГОСТ РО 0043-003 и ГОСТ РО 0043-004, но прослеживается схожий подход к проведению аттестационных испытаний.

Изменения в №152-ФЗ «О персональных данных»

В декабре 2020 года в Государственную Думу внесен законопроект «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности» (далее – Законопроект).

Законопроект дополняет меры по обеспечению безопасности персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», и включает в них меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

В декабре был опубликован ГОСТ Р ИСО/МЭК 19086-4-2020 «Информационные технологии. Облачные вычисления. Структура соглашения об уровне обслуживания (SLA). Часть 4. Компоненты информационной безопасности и защиты персональных данных» (далее – Стандарт), который вступит в силу 01 июня 2021 года.

Стандарт идентичен международному стандарту ISO/IEC 19086-4:2019 «Cloud computing – Service level agreement (SLA) framework – Part 4: Components of security and of protection of PII» и описывает компоненты обеспечения информационной безопасности и защиты персональных данных, а также целевые параметры уровня и качества обслуживания в соглашениях об уровне обслуживания облачных служб (облачное SLA), включая соответствующие требования и рекомендации.

Стандарт предназначен для использования как поставщиками, так и потребителями облачных служб.

Перечень угроз безопасности, рассматриваемых аккредитованным удостоверяющим центом

С 1 января 2021 года вступит в силу Приказ Минцифры России от 26.11.2020 №624 "Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя - физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре" (далее – Приказ №624).

Приказ №624 вводит перечень актуальных угроз безопасности при идентификации заявителя в аккредитованном удостоверяющем центре; выдаче квалифицированного сертификата без личного присутствия заявителя; хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре.

Требования к поручению владельца квалифицированного сертификата

С 1 января 2021 года вступит в силу Приказ Минцифры России, связи и массовых коммуникаций Российской Федерации от 30.11.2020 №643 «Об утверждении требований к форме указанного в пункте 1 части 2.2 статьи 15 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» поручения владельца квалифицированного сертификата, порядку передачи поручения владельца квалифицированного сертификата аккредитованному удостоверяющему центру, а также к правилам хранения указанного поручения» (далее – Приказ №643).

Приказ №643 определяет требования к поручению владельца квалифицированного сертификата, а именно: требования к форме поручения, порядку передачи поручения аккредитованному удостоверяющему центру и правилам хранения поручения.

Значимые объекты КИИ

28 декабря Минцифра России опубликовало Приказ № 777 «Об утверждении Рекомендаций по проведению сертификации оборудования связи, используемого в составе сети связи общего пользования, обеспечивающей функционирование значимых объектов критической информационной инфраструктуры» и Приказ № 779 «Об утверждении организационно-технических мер по обеспечению информационной безопасности ресурсов сети связи общего пользования, используемых значимыми объектами критической информационной инфраструктуры».

Данные приказы имеют ограничительную пометку «Для служебного пользования», поэтому возможности ознакомиться с их содержанием нет.

Требования по защите информации, размещаемой в интеллектуальной системе учета

Вспомним Постановление Правительства Российской Федерации от 19.06.2020 №890 «О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)» (далее – Приказ №890), которое содержит в себе требования по защите информации, размещенной в интеллектуальной системе учета:

На основании определений терминов из Федерального закона от 27.12.2018 №522 и Постановления Правительства Российской Федерации от 04.05.2012 №442 можно сделать вывод, что интеллектуальная система учета электроэнергии – это комплекс, состоящий из приборов учета, устройств удаленной передачи данных с таких приборов учета и устройств сбора таких данных (сервер или компьютер). Иными словами – это автоматизированная система коммерческого учета электроэнергии (АСКУЭ) / автоматизированная информационно-измерительная система коммерческого учета электроэнергии (АИИСКУЭ). Следовательно, описанные выше требования должны быть реализованы на АСКУЭ/АИИСКУЭ.